fbpx

La ligne Maginot

Si notre histoire est toujours riche d’enseignement, les cyberattaques continuelles visant à dérober et/ou altérer l’intégrité des données des entreprises s’avèrent souvent pernicieuses. Malgré de multiples mise en garde des autorités et des entreprises spécialisées dans la protection des données les cyberattaques se poursuivent avec des conséquences dramatiques sur le plan économique et social de leurs victimes. Je vous invite à consulter la carte en temps réel des menaces informatiques diffusée par Kaspersky. L’animation digne d’une boule à facette tournant au plafond lors d’une folle soirée disco vous donne le tournis et laisse présager néanmoins le pire pour vos très chères données.

En effet, un rapide tour de piste avec l’un des multiples attaquants vous fera vite comprendre qu’ils n’ont nullement l’intention de vous faire danser mais davantage de vous faire chanter.

Vous allez détester les karaokés

Si vous avez appliqué une stratégie de protection des données « digne de la Ligne Maginot » vous allez en effet très vite déchanter avec vos nouveaux amis. Pour la petite histoire, la France décide au courant des années 1930 d’édifier une fortification dans la partie Nord-Est et Sud-Est de son territoire. Cette construction militaire vise entre autre à protéger la France contre une attaque surprise de ses voisins allemands et italiens. Ce projet quelque peu pharaonique prévoit d’équiper ce dispositif complexe et de l’échelonner en profondeur sur différents niveaux de protection depuis la frontière. Afin de repousser les assaillants, on l’équipe de barbelés, de blockhaus, de rails antichars, de mitrailleuses lourdes et diverses pièces d’artillerie afin d’accueillir en fanfare les nouveaux arrivants indésirables. Tous ces éléments visent ainsi à garantir la sécurité périmétrique du territoire selon André Maginot. L’homme fort à l’origine de ce projet, Ministre de la guerre en 1929, juge la faiblesse du gouvernement français et se méfie de la « sécurité » toute relative offerte par le Traité de Versailles.

Quand on contourne la sécurité périmétrique

L’histoire ne lui donnera pas forcément raison et l’armée allemande infligera une défaite cuisante à la France en privilégiant son contournement. Parmi les trois groupes d’armée mobilisés pour l’invasion, le groupe d'armée B fait la différence. Il progresse à travers le Luxembourg, la Belgique, puis fonce, sans grande opposition, directement à travers les Ardennes dans une forêt prétendument impénétrable par les experts militaires de l’époque. Le 9 juin 1940 le vers est dans la pomme, la Ligne Maginot se retrouve isolée du reste de l’armée française et le comité d’accueil français est pris au dépourvu. De nos jours, la notion de sécurité périmétrique reste un sujet prégnant dans les entreprises et institutions publiques face à un envahisseur qui ne vous veut pas du bien. Dans l’inconscience collective, la cybersécurité s’appuie bien souvent davantage sur des outils indispensables et ancestraux tels que les pare-feu (Firewall) et antivirus au détriment d’autres solutions salvatrices. Demandez à n’importe quel dirigeant à quoi il associe la cybersécurité, en seulement deux mots, et vous observerez médusé une sorte de réflexe verbal pavlovien sur les priorités des outils à mettre en œuvre.

On associe à tort pare-feu et antivirus à la cybersécurité comme on le fait avec le chocolat et la crise de foie.

Des cybermenaces quelque peu atypiques

Des menaces bien plus sérieuses et pernicieuses ont pourtant vu le jour et les maîtres chanteurs en ont fait une affaire très, très lucrative, depuis plusieurs années. Agissant seuls, en bande organisée, à leur compte où mandatés par des tiers à la solde d’entreprises concurrentes voire même d’Etats, leurs motivations n‘ont d’égal qu’à la hauteur du chèque qu’ils vont empocher grâce aux rançongiciels (Ransomware).

Cette arme numérique affectant une entreprise vise à appliquer massivement un procédé de chiffrement cryptographique sur tout ou partie des données ciblées. Cette attaque affecte principalement non seulement l’intégrité des données mais également leur disponibilité et celle du système d’information. La confidentialité peut également être compromise par la divulgation (Data Leaks) à des tiers non autorisés des données collectées avant ce chiffrement un peu particulier. La prise d’otage numérique se poursuit généralement avec une demande de rançon, payable non pas en monnaie sonnante et trébuchante ou par chèque, mais au moyen d’une crypto monnaie si possible intraçable.

La confidentialité reste de mise mais surtout quand il s’agit de payer.

Evitez à tout prix le syndrome de la Ligne Maginot

Les outils de sécurité périmétrique indispensables à toute entreprise, là n’est pas le sujet, auront l’efficacité certaines d’un cataplasme sur une jambe de bois. Eviter le syndrome de la Ligne Maginot nécessite de disposer d’un plan alternatif face à notre groupe B de cybercriminels. En effet, les exigences en matière de sécurité du système d'information visent à garantir la disponibilité et la résilience des données en réponse aux sinistres. On définit trois facteurs critiques, applicables aux systèmes de gestion du système d'information (SMSI), visant à garantir simultanément les objectifs de sécurité des données :

  • confidentialité
  • intégrité
  • disponibilité

La sécurité périmétrique ou préventive repose davantage sur un principe de prévention. Le but reste de complexifier le travail de l’attaquant sans pour autant éliminer totalement ses chances de succès à commettre son forfait. Si les outils se perfectionnent d’année en année, parfois à grand renfort d’IA, en gage de solution ultime, il reste toujours un maillon faible en entreprise : l’humain. En matière de gestion du risque, cette stratégie de sécurité informatique repose inéluctablement sur le principe d’atténuation. A défaut d’atteindre le risque zéro, l’arrière garde votre Ligne Maginot doit par conséquent se doter d’outils curatifs.

Il vous faut nécessairement compléter votre arsenal au moyen d’un plan B.

Quand le plan B vient à votre secours

Les actifs numériques de l'entreprise, autrement dits vos données, doivent mobiliser deux stratégies de sécurité dites préventives et curatives. Elles agissent à l’unisson pour atteindre les objectifs de sécurité des données. Sans rentrer dans une quelconque polémique sur leur innocuité et leur efficacité, les vaccins et les médicaments symbolisent parfaitement la mise en œuvre d’une stratégie préventive et curative. Les outils curatifs tels que la sauvegarde des données visent en effet à préserver l’intégrité et la disponibilité des données au moyen d’un processus de restauration. Une fois le sinistre avéré, ces mesures permettent en effet à l'entreprise de reprendre son activité sans pour autant devoir mettre la main à la poche, afin de récupérer ses données aux mains des ravisseurs revenus bredouilles de leur besogne.

La sauvegarde demeure la fondation de toute politique de protection des données et agit comme un dernier rempart.

Le respect des bonnes pratiques dans sa mise en œuvre, sans s’y limiter, avec la Règle de sauvegarde 3-2-1, renforcée par la Règle dite 3-2-1-1, reste un gage de récupération de vos données en toutes circonstances. Le périmètre de protection des données doit de nos jours tenir compte de la localisation physique des données à sauvegarder. En entreprise (On Premise) ou dans le nuage (Cloud), tout décideur soucieux de la santé de ses données ne doit plus se demander si une cyberattaque peut survenir mais quand. L’exode massif des données vers des services informatiques dans le nuage étendent notablement le périmètre d’attaque. Ces services regorgent de précieuses données et représentent des cibles de choix pour les cybercriminels attirés tels des ours par ces énormes pots de miel. Si des services de logiciels à la demande (Software –As-A-Service) proposent des mécanismes de protection des données aucune garantie n’est donnée quant au respect des niveaux de service requis par l’entreprise. Des solutions clé en main existent afin de sauvegarder les données Microsoft 365.

Protection des données de l'entreprise